Sicherheit von alten Betriebssystemen / macOS El Capitan

[Hans55]

Wirkliches Argument ist das nicht. Apple bietet auch Snow Leopard noch zum Kauf an, und das System hat seit bald 6 Jahren keine Sicherheitsupdates erhalten.

Apple bietet Snow Leopard eben nur als Zwischenschritt an, damit Benutzer von älteren MacOs auf ein neueres System updaten können.

Ein Beispiel, aus Wikipedia kopiert: Updaten auf Sierra :

Für eine Aktualisierung wird mindestens OS X 10.7.5 vorausgesetzt. Benutzer von OS X 10.6 Snow Leopard müssen einen Zwischenschritt einlegen und auf OS X 10.11 El Capitan umsteigen, OS-X-10.5-Leopard-Benutzer müssen dabei zuerst OS X 10.6 Snow Leopard für 19,99 Euro bzw. 20 Franken kaufen und es installieren.

 

[errorlog]

Danke für eure Unterstützung. Ich mache das mit der Fettschrift um etwas (meiner Meinung nach) Wichtiges hervorzuheben.

Auch wenn es stellenweise sicher nicht so rüber gekommen ist, geht es mir nicht mal um meine eigene Sache.

Meiner Meinung nach hat man eine gewisse Verantwortung mit seinen Posts, wenn jemand bewusst um Rat fragt.

Da hat also jemand offensichtlich ganz andere Ansprüche an seine EDV und kommt nicht weiter.

Ehrlich, was soll es so jemand erst zu erzählen, dass Die Hardware in den Müll gehört und überhaupt das OS am besten dazu?

Warum ist es nicht möglich jemandem da weiter zu helfen, wo er gerade steht? Es ist Quatsch (und ja, ich meine das jetzt wirklich so) mit Sicherheitsrisiken auf der Basis von Zero-Day-Exploits zu kommen!

Was soll dieses Armdrücken? Muss ich mich vor so einen verschreckten Laien stellen und ihm erzählen, dass man solche "Bedrohungen" mit einem geänderten Surfverhalten und nicht mit Updates in den Griff bekommt?

Mal ehrlich, da diskutiert jemand um "Geschrei" und haut so einen (sorry) Quatsch raus?

Hab ich da was verpasst? Gibt es plötzlich stündliche Updates von Apple?

Komischerweise gibt es genug Threads, bei denen die Neulinge dankbar für Hilfe waren, Fragen gestellt haben, und auch (wie wir alle) ihre Erfahrungen gemacht haben, sogar verständlicherweise stolz waren, ihre "Probleme" mit etwas Hilfe selbst gelöst zu haben.

Denkt doch mal an eure eigenen Anfänge. - Ich finde es gut, wenn jemand einen Zustand ändern möchte, seinen Horizont erweitern möchte.

So jemand hat pauschal meinen Respekt!

Warum kann ich mir nicht anhören, ob es für den Threadstarter unbedingt ein MacOS sein muss. Es gibt einen Haufen Lösungen, die anders klingen als "kauf Dir was neues".

Da erinnert dann zwischendurch wirklich jemand, dass im Moment noch nicht mal alle Fakten geklärt sind, und macht sich die Mühe geradezu "forensisch" zu klären, was der Threadersteller für einen Rechner haben mag.

Und trotzdem schalten einige anscheinend nicht auf Empfang.

"Schmeiß weg..."

Ein Ubuntu oder besser noch ein Linux Mint lassen sich von jedem 8 Jährigen installieren.

Ich schreib diesen Mist hier jetzt zu Ende, weil wir den Threadersteller sowieso vertrieben haben, und ich hoffe, dass das so nicht wieder vorkommt.

Mal ehrlich, wieso darf sich hier jeder öffentlich über Apple und El Capitan totlachen, ohne mal die mehrfach angefragte konkrete Begründung für die eigene Meinung bzw. Vermutung zu liefern?

Gibt es jemand, der sich irgendwie mit seinem EL Capitan irgendwelche Malware eingefangen hat, weil das Zeug unsicher ist?

Wäre das unter High Sierra oder einem anderen MacOs vermeidbar gewesen?

Wäre das unter Umständen sogar mit einfachen Mitteln unter El Captitan vermeidbar gewesen?

Ernsthaft, einige Posts lassen nicht auf Anhieb erkennen, dass es darum geht, dem Threadhersteller irgendwie wirklich zu helfen.

Jungs, Mädels, verzeiht mir, dass ich kurzzeitig nah dran war die Contenance zu verlieren, aber das können wir besser!


P.S.: Das "Fette" ist nur das Wesentliche, der mir wichtige Part, kein Geschrei.

 

[Martin Wendel]

Apple bietet Snow Leopard eben nur als Zwischenschritt an, damit Benutzer von älteren MacOs auf ein neueres System updaten können.

Das ist mir bewusst. Und El Capitan wird u.a. noch angeboten, weil es das letzte unterstützte System für einige Geräte ist. Die Verfügbarkeit des Systems sagt aber nichts über die Sicherheit aus.

 

[Carcharoth]

Ergänzend aber: Wikipedia ist nicht immer eine seriöse Quelle. Und auf gar keinen Fall, wenn ich anderer Meinung bin!

War klar

Danke für eure Unterstützung. Ich mache das mit der Fettschrift um etwas (meiner Meinung nach) Wichtiges hervorzuheben.

Auch wenn es stellenweise sicher nicht so rüber gekommen ist, geht es mir nicht mal um meine eigene Sache.

Ich nutz da immer kursiv.

Meiner Meinung nach hat man eine gewisse Verantwortung mit seinen Posts, wenn jemand bewusst um Rat fragt.

Da hat also jemand offensichtlich ganz andere Ansprüche an seine EDV und kommt nicht weiter.

Zu dieser Verantwortung gehört auch, entsprechende Warnungen zu äussern. Frei nach dem Motto: "Kann man so machen, ist dann halt Scheisse."
Wenn ich mir beim Mech die Sommerreifen anschrauben lasse und der Mech mir da nicht sagen würde, dass die abgefahren sind, da wär ich auch nicht grad erfreut, wenn das Heck bei der nächsten Kurve in ne andere Richtung guckt.

Ehrlich, was soll es so jemand erst zu erzählen, dass Die Hardware in den Müll gehört und überhaupt das OS am besten dazu?

Hier hat keiner was von wegschmeissen erzählt. Keine Ahnung wieso du so drauf beharrst.

Warum ist es nicht möglich jemandem da weiter zu helfen, wo er gerade steht? Es ist Quatsch (und ja, ich meine das jetzt wirklich so) mit Sicherheitsrisiken auf der Basis von Zero-Day-Exploits zu kommen!

Was soll dieses Armdrücken? Muss ich mich vor so einen verschreckten Laien stellen und ihm erzählen, dass man solche "Bedrohungen" mit einem geänderten Surfverhalten und nicht mit Updates in den Griff bekommt?

Mal ehrlich, da diskutiert jemand um "Geschrei" und haut so einen (sorry) Quatsch raus?

Hab ich da was verpasst? Gibt es plötzlich stündliche Updates von Apple?

Willst du mich veräppeln?
Willst du willentlich Sicherheitsrisiken ignorieren weil man die "mit einem geänderten Surfverhalten" in den Griff kriegen will?

Du kriegst mittlerweile Malware per Werbung ausgeliefert. iPhones hatten regelmässig den Bug, dass man mit ner simplen SMS das Gerät in nen Bootloop setzen konnte.
Das ist kein Armdrücken, das ist ein "Guck mal, da ist Gefahr, Lösung ist XY" das du aus irgend nem Grund total unnötig findest.

Warum kann ich mir nicht anhören, ob es für den Threadstarter unbedingt ein MacOS sein muss. Es gibt einen Haufen Lösungen, die anders klingen als "kauf Dir was neues".

Da erinnert dann zwischendurch wirklich jemand, dass im Moment noch nicht mal alle Fakten geklärt sind, und macht sich die Mühe geradezu "forensisch" zu klären, was der Threadersteller für einen Rechner haben mag.

Und trotzdem schalten einige anscheinend nicht auf Empfang.

"Schmeiß weg..."

Du wiederholst dein Mantra immer wieder, obwohl hier noch immer keiner "Schmeiss weg" gesagt hat

Mal ehrlich, wieso darf sich hier jeder öffentlich über Apple und El Capitan totlachen, ohne mal die mehrfach angefragte konkrete Begründung für die eigene Meinung bzw. Vermutung zu liefern?

Gibt es jemand, der sich irgendwie mit seinem EL Capitan irgendwelche Malware eingefangen hat, weil das Zeug unsicher ist?

Wäre das unter High Sierra oder einem anderen MacOs vermeidbar gewesen?

Wäre das unter Umständen sogar mit einfachen Mitteln unter El Captitan vermeidbar gewesen?

Ernsthaft, einige Posts lassen nicht auf Anhieb erkennen, dass es darum geht, dem Threadhersteller irgendwie wirklich zu helfen.

Jungs, Mädels, verzeiht mir, dass ich kurzzeitig nah dran war die Contenance zu verlieren, aber das können wir besser!


P.S.: Das "Fette" ist nur das Wesentliche, der mir wichtige Part, kein Geschrei.

Ich weiss nicht, warum du stur immer wieder dasselbe wiederholst, ohne mal direkt auf die Einwände einzugehen.
El Capitan hat offene Lücken. Diese können ausgenutzt werden. Du gehst auch nicht nur mit nem Hawaiihemd Paintball spielen und hoffst dann, dass dich keiner trifft.


Anyway:
https://xkcd.com/386/

 

[errorlog]

@Carcharoth

Wo ist die Antwort auf die Frage: welche Lücke(n) in EL Capitan sind hinter einem Router für einen Anwender relevant?

Bekommen wir eine konkrete Antwort? Wovon sprichst Du?

Begründe doch solche wichtigen Dinge nicht mit Fehlern im IOS, abgefahrenen Reifen oder bunten Hawaihemden.

Spar dir doch bitte diese Analogien, komm mal endlich mit irgendwelchen Fakten, die man für Entscheidungen verwenden kann.

Du schreibst doch sonst auch vernünftige, fundierte Dinge, warum geht das bei diesem Thema nicht?

Hab diesmal auch nur ein einziges Wort fett gemacht, obwohl, bei "relevant" war ich kurz davor.

 

[Martin Wendel]

Wo ist die Antwort auf die Frage: welche Lücke(n) in EL Capitan sind hinter einem Router für einen Anwender relevant?

Was sollen das bitte für Fragen sein? Eine Lücke ist spätestens dann relevant, wenn du Opfer eines Angriffs wirst. Und sofern es sich um eine bekannte Lücke handelt, kann das potentiell jederzeit der Fall sein. Ich verstehe nicht, warum du hier ein System, das über bekannte & offene Sicherheitslücken verfügt, verteidigst? Mag ja sein, dass man sich entscheidet, dass man die Gefahrenlage in Kauf nimmt – aber sie ist definitiv vorhanden.

 

[Carcharoth]

@Carcharoth

Wo ist die Antwort auf die Frage: welche Lücke(n) in EL Capitan sind hinter einem Router für einen Anwender relevant?

So ziemlich alle die ich dir gestern verlinkt habe. Das sind Exploits die du kaum mit nem Router (bzw. Firewall) geblockt kriegst.

Klick mal so n CVE an. Da steht genau welche Komponente betroffen ist und was die Folgen sind.

 

[errorlog]

Klick mal so n CVE an. Da steht genau welche Komponente betroffen ist und was die Folgen sind.

Ich habe Dir mal "Dein" CVE nach "Vendor=Apple" selected. Klick

in der rechten Spalte findest Du deine Exploits. Es sind ganze 21 in der Datenbank für alle Apple Produkte inkl IOS u. TVOS enthalten.

Der neuste Eintrag ist von 2015. Kein einziger betrifft El Capitan 10.11.6

Wovon redest Du bitte die ganze Zeit?

Edit: habe gerade bemerkt, dass der Mod diese "Diskussion" ausgelagert hat. Damit bin ich raus. Auf Armdrücken habe ich keinen Bock. Ich war eigentlich schon bei "willst Du mich veräppeln?" raus. Whatever...

 

[Macbeatnik]

Vermutlich redet ihr aneinander vorbei, in der Liste sind die blauen Zahlen in den Zellen verschiedenste Arten von Lücken in den Systemen, viele dieser Lücken werden und wurden in älteren Systemen nicht gefixt. wer also mit alten Systemen unterwegs ist, der wird zumindest was die Sicherheit angeht auf einem sinkenden Kahn fahren.

 

[errorlog]

die blauen Zahlen in den Zellen verschiedenste Arten von Lücken in den Systemen, viele dieser Lücken werden und wurden in älteren Systemen nicht gefixt

Völlig richtig. Aber das vorhandensein irgendeiner "Lücke", wird erst zum Problem, wenn sie überhaupt erreicht und für die Injektion von Schadcode ausgenutzt werden kann.

Ausserdem sind die meisten Einträge "einfache Programmfehler", die sich generell nicht zum Ausführen von Schadcode eigenen.

Man muss da schon etwas differenzieren. - Deshalb hatte ich nach der Relevanz für einen User gefragt.

Die angesprochenen Exploids gibt es jedenfalls nicht in dieser Liste.

Konkret ging es um die Empfehlung El Capitan bedenkenlos hinter einem Router einsetzen zu können.

Ich hätte mir konstruktive Beiträge gewünscht wie: "Apple Mail ist in EC auf Version 9.3 stehen geblieben. Da gibt es konkret das Problem XY."

 

[Macbeatnik]

Natürlich stellen alle diese Lücken Probleme für den Nutzer da, denn jederzeit könnten sie genutzt werden.
Ansonsten würde es ja Sicherheitsupdates nur dann geben, wenn Lücken genutzt würden.

 

[Wuchtbrumme]

Hallo Kollegen,

um das mal abzukürzen: Ihr redet aneinander vorbei und zwar komplett und auch alle Seiten.

Es geht nicht um _eine konkrete_ Bedrohung, die bekannt sein muss. Es geht um die unbekannten Bedrohungen, die Lücken, die schon nicht einmal mehr dokumentiert werden, geschweige denn gefixt würden.

Dass ich diese unbekannten Bedrohungen nicht nennen kann liegt an der Definition von unbekannt. Es gibt natürlich auch Lücken in neueren OS, wo man aufgrund der Beschreibung, des Codes, des Angriffsvektors oder anhand der Historie sagen kann, xyz muss auch betroffen sein.

So konkret muss es aber nicht werden, um die Situation schon jetzt korrekt als „ich nutze ein altes OS nicht mehr für sicherheitsrelevante Dinge oder kopple es komplett von Netzwerk und externen Medien ab!“ einschätzen zu können.

 

[Carcharoth]

Verflixt. Da ist man den ganzen Tag unterwegs und kaum ist man an nem Rechner und will ne schöne Antwort tippseln, kommt ihr mir zuvor *g*

Trotzdem:

Völlig richtig. Aber das vorhandensein irgendeiner "Lücke", wird erst zum Problem, wenn sie überhaupt erreicht und für die Injektion von Schadcode ausgenutzt werden kann.
Ausserdem sind die meisten Einträge "einfache Programmfehler", die sich generell nicht zum Ausführen von Schadcode eigenen.
Man muss da schon etwas differenzieren. - Deshalb hatte ich nach der Relevanz für einen User gefragt.
Die angesprochenen Exploids gibt es jedenfalls nicht in dieser Liste.
Konkret ging es um die Empfehlung El Capitan bedenkenlos hinter einem Router einsetzen zu können.
Ich hätte mir konstruktive Beiträge gewünscht wie: "Apple Mail ist in EC auf Version 9.3 stehen geblieben. Da gibt es konkret das Problem XY."

Die Vergleiche mit Auto/Paintball etc. waren halt, weil ich nicht wusste ob du es nicht verstehst weil dir Analogien fehlen, oder weil du es nicht verstehen willst. Ich vermute ja noch immer das es letzteres ist, hoffe aber das Gegenteil.

Also, gucken wir doch mal so nen CVE durch.
Beispiel: CVE-2018-4465 mit ner Wertung von 9.3/10 Punkten.
Ist ein schöner Mem-Leak der auf iOS und MacOS auftreten kann. Und zwar auf so ziemlich allen Versionen seit 1.0 bzw. seit 10.0 und somit auch auf El Capitan. Gefixt wurde es, aber nur auf Sierra, High Sierra und Mojave (und iOS). El Capitan ist also noch immer betroffen.

Du hast da also n offenes Scheunentor im Rechner, wo man theoretisch Schadcode ausführen kann. Dass da noch kein Exploit (ausser dem Beispielcode) existiert, ist dein Glück. Da solltest dich eher freuen

Ein Router oder ne Firewall wird dich da nicht schützen. Weil die Sicherheitslücke kann man nutzen indem du ein präpariertes DMG-File öffnest.

 

[echo.park]

Also mir wäre das nix, mit einem solchen Uralt-System online zu gehen. Eine mir bis dahin unbekannte Webseite öffnen und ich hätte Schweißperlen auf der Stirn.

 

[Wuchtbrumme]

Eine mir bis dahin unbekannte Webseite öffnen und ich hätte Schweißperlen auf der Stirn.

völlig zu Unrecht. Die letzten Jahre beweisen, dass der Schadcode über bekannte Webseiten und deren Werbeschalten kommt.

 

[echo.park]

völlig zu Unrecht. Die letzten Jahre beweisen, dass der Schadcode über bekannte Webseiten und deren Werbeschalten kommt.

Ja, das mag sein. Aber ich beziehe mich rein aufs Gefühl.

So oder so, ich würde das System nicht mehr nutzen wollen.

 

[errorlog]

Verflixt. Da ist man den ganzen Tag unterwegs und kaum ist man an nem Rechner und will ne schöne Antwort tippseln, kommt ihr mir zuvor *g*

Ich sehe, es fällt Dir echt schwer sachlich zu bleiben. Sei`s drum, jeder wie er es persönlich bevorzugt...

Also, gucken wir doch mal so nen CVE durch.
Beispiel: CVE-2018-4465 mit ner Wertung von 9.3/10 Punkten.
Ist ein schöner Mem-Leak der auf iOS und MacOS auftreten kann. Und zwar auf so ziemlich allen Versionen seit 1.0 bzw. seit 10.0 und somit auch auf El Capitan. Gefixt wurde es, aber nur auf Sierra, High Sierra und Mojave (und iOS). El Capitan ist also noch immer betroffen.

Das ist Deine persönliche Interpretation. Konkret geht es dabei um folgendes Klick

Zitat: The weakness was published 12/05/2018 with Pangu Team as HT209341 as confirmed advisory (Website). The advisory is shared for download at support.apple.com. This vulnerability was named CVE-2018-4465. The attack needs to be approached locally. The successful exploitation requires a single authentication.

Hör doch bitte endlich mal damit auf, die Dinge komplett aus dem Zusammenhang zu reissen! Wem möchtest Du damit Angst machen?

Wo steht, dass Dir jemand den Schadcode "beim Surfen auf einer Webseite unterjubeln kann"?

EC hat bereits den Gatekeeper implementiert. Gewisse Dinge gehen daran nicht mehr unbemerkt vom User vorbei!

Ein Router oder ne Firewall wird dich da nicht schützen. Weil die Sicherheitslücke kann man nutzen indem du ein präpariertes DMG-File öffnest.

Was soll dieses Blabla? Natürlich tut es das nicht. Was Du beschreibst, hat schon wieder nichts mit Exploits zu tun, sondern würde vermutlich eher unter "Social Engeniering" laufen. Aber das weißt du.

Hör doch bitte endlich auf, Fakten aus dem Zusammenhang zu reissen und (bewusst?) falsch darzustellen.

Auch unter EC hat man als User maximal mit Adware und Spyware zu tun. Malware klingt natürlich besser, aber es gibt seit Ewigkeiten nichts mehr ernstzunehmendes unter MacOS in the wild. - Und diese vorhandenen "Bedrohungen" lassen sich abfangen!

Egal, lies nach: "kein Exploid bekannt geworden", lediglich ein Codeschnipsel (um den Nachweis anzutreten).

Sorry for OT! Hier geht es wirklich nicht mehr um die Sicherheit von "alten Betriebssystemen", sondern um bewusstes Verdrehen von Tatsachen.

Klar ist dieser Fehler nicht gefixt! Wozu auch? Die Klippe läßt sich auch mit Nachdenken umschiffen!

Du kannst Dich also gern weiter darauf beschränken "Deine Antworten fachlich fundiert zu tippseln".

Also Paintball und platte Reifen bitte vermeiden. Nimm doch mal das Thema Jailbreak als Vergleich. Das liegt näher, und jeder versteht das dann mit dem "lokal Access needed".

Und wer den letzten Jailbrak mal durchgeführt hat, wird verstehen, wie aufwändig und interaktiv dieser mehrstufige lokale Angriff auf eine (oder mehrere) Sicherheitslücke(n) abläuft.

Hab ich da das Scheunentor übersehen? Mein IPhone hat sich bis zum Schluss gewehrt und letztendlich ist auch nur ein Tethered Jailbreak möglich...

Glaub mir, wenn es ernstzunehmende Malware in EC geben wird, weiß es die Welt in Minuten! Dafür ist das Thema wichtig genug.

Dann kann man immer noch reagieren, weil es unwahrscheinlich ist in der ersten Welle dabei zu sein.

Statistiken aus der Microsoft Welt zeigen, das infizierte (!!!) Rechner teilweise über Jahre infiziert bleiben.

Wir haben noch nicht die Möglichkeit uns unter MacOS EC zu infizieren. Solange sehe ich EC als "Sicher, mit den o.a. Einschränkungen" an.

Mag jeder selbst entscheiden, ob ihm das ausreicht. "Scheunentore oder Panzer die durchfahren" gibt es jedenfalls (noch) nicht.

 

[Carcharoth]

Ich sehe, es fällt Dir echt schwer sachlich zu bleiben. Sei`s drum, jeder wie er es persönlich bevorzugt...

Ich bin Schweizer. Hier ist Humor noch nicht verboten

Ausserdem hilft mir das drüber hinwegzukommen, dass dir mindestens 3 Leute widersprechen und du noch immer auf deiner Meinung beharrst. Ich geb's langsam auf, hat ja doch keinen Zweck.

Das ist Deine persönliche Interpretation. Konkret geht es dabei um folgendes Klick

Zitat: The weakness was published 12/05/2018 with Pangu Team as HT209341 as confirmed advisory (Website). The advisory is shared for download at support.apple.com. This vulnerability was named CVE-2018-4465. The attack needs to be approached locally. The successful exploitation requires a single authentication.

Ja, stimmt, mein Fehler. Dass die CVE-Jungs dem Bug 9,3 von 10 Punkten geben ist sicher auch nur n Versehen von denen. Der Fehler ist ja harmlos und kann kaum ausgenutzt werden.
Ausser man zieht sich aus ner vertrauenswürdigen Quelle ein Programm das entsprechend präpariert ist, ohne dass man es weiss. Sowas passiert ja nie.

Hör doch bitte endlich mal damit auf, die Dinge komplett aus dem Zusammenhang zu reissen! Wem möchtest Du damit Angst machen?
Wo steht, dass Dir jemand den Schadcode "beim Surfen auf einer Webseite unterjubeln kann"?
EC hat bereits den Gatekeeper implementiert. Gewisse Dinge gehen daran nicht mehr unbemerkt vom User vorbei!

Hör bitte ebenfalls damit auf. El Capitan hat offene Lücken. Auch wenn du es selbst noch nutzt; du kannst aufhören dir selber einzureden, dass das alles total okay ist, weil du ja schon aufpassen würdest. Du machst dir da nur was vor.

Was soll dieses Blabla? Natürlich tut es das nicht. Was Du beschreibst, hat schon wieder nichts mit Exploits zu tun, sondern würde vermutlich eher unter "Social Engeniering" laufen. Aber das weißt du.

Hör doch bitte endlich auf, Fakten aus dem Zusammenhang zu reissen und (bewusst?) falsch darzustellen.

Nur wenn du damit aufhörst, meine Sätze absichtlich zu misinterpretieren. Einfacher kann man es wirklich nicht mehr erklären. Das haben die anderen auch schon probiert, aber das hast du schön ignoriert.

Auch unter EC hat man als User maximal mit Adware und Spyware zu tun. Malware klingt natürlich besser, aber es gibt seit Ewigkeiten nichts mehr ernstzunehmendes unter MacOS. - Und diese "Bedrohungen" lassen sich abfangen!

Egal, lies nach: "kein Exploid bekannt geworden", lediglich ein Codeschnipsel (um den Nachweis anzutreten).

Welchen Teil von "bekannt geworden" hast du übersehen? Wer garantiert dir, dass da nicht schon irgendwas in Arbeit ist? Und zwar nicht nur auf diesen CVE bezogen, sondern auch auf alle anderen die für El Capitan noch Gültigkeit haben.

Sorry for OT! Hier geht es wirklich nicht mehr um die Sicherheit von "alten Betriebssystemen", sondern um bewusstes Verdrehen von Tatsachen.

Stimmt. Drum lass das bitte.

Klar ist dieser Fehler nicht gefixt! Wozu auch? Die Klippe läßt sich auch mit Nachdenken umschiffen!

Das meinst du doch nicht ernst, oder?

Du kannst Dich also gern weiter darauf beschränken "Deine Antworten fachlich fundiert zu tippseln".

Also Paintball und platte Reifen bitte vermeiden. Nimm doch mal das Thema Jailbreak als Vergleich. Das liegt näher, und jeder versteht das dann mit dem "lokal Access needed".

Haha, ja. Das war schön, als der simple Aufruf einer Webseite nen Jailbreak durchführen konnte. (Sprich: Fremden Code nur durch den Aufruf einer Webseite ausführen.)
Gab n paar schöne Videos als n paar Kids dauernd in die Apple Stores sind um sämtliche ausgestellten iPhones zu jailbreaken.

Und wer den letzten Jailbrak mal durchgeführt hat, wird verstehen, wie aufwändig und Interaktiv dieser mehrstufige lokale Angriff auf eine (oder mehrere) Sicherheitslücke(n) abläuft.

Hab ich da das Scheunentor übersehen? Mein IPhone hat sich bis zum Schluss gewehrt und letztendlich ist auch nur ein Tethered Jailbreak möglich...

Du kannst Bugs übrigens auch kaskadieren und dir so ne wunderschöne Kette bauen, die immer weitere Exploits durchführt.
Guck dir z.B. mal Stuxnet an. Das ist n wunderschönes Beispiel, wie man mehrere Exploits aneinander hängen kann um ans Ziel zu kommen.

Glaub mir, wenn es ernstzunehmende Malware in EC geben wird, weiß es die Welt in Minuten! Dafür ist das Thema wichtig genug.

Hast ja selber verlinkt wie teuer da Malware noch wert hat. So wichtig ist das Thema nicht mehr. Zumal El Capitan nicht mehr wirklich supported wird und die meisten User ein Upgrade gemacht haben.
Oder siehst du heute noch regelmässige Newseinträge zu Bugs in WinXP? Davon gibts nämlich auch genug, interessiert nur kaum jemanden. Das wird nur dann interessant, wenn Microsoft trotz Supportende mal wieder nen Patch raushaut, weil ne wirklich üble Lücke gefunden wurde.

Dann kann man immer noch reagieren, weil es unwahrscheinlich ist in der ersten Welle dabei zu sein.
Statistiken aus der Microsoft Welt zeigen, das infizierte (!!!) Rechner teilweise über Jahre infiziert bleiben.

Natürlich. Ist dasselbe bei Verkehrsunfällen. Die passieren auch immer anderen. Bis man dann selber erwischt wird.
Du hast keine Garantie nicht doch in der ersten Welle dabei zu sein.

Wir haben noch nicht die Möglichkeit uns unter MacOS EC zu infizieren. Solange sehe ich EC als "Sicher, mit den o.a. Einschränkungen" an.
Mag jeder selbst entscheiden, ob ihm das ausreicht. "Scheunentore oder Panzer die durchfahren" gibt es jedenfalls (noch) nicht.

Impfgegner-Argument.

 

[errorlog]

Natürlich. Ist dasselbe bei Verkehrsunfällen. Die passieren auch immer anderen. Bis man dann selber erwischt wird.

Sorry, aber wenn Du schon nicht wissenschaftlich und fundiert (z.B. durch prüfbare Links) argumentierst, ist das alles maximal Deine Meinung und damit unter Umständen von jeder Wahrheit weit entfernt.

Belib doch wenigstens mit Deinen Beispielen in der EDV Welt.

Was die Art Deiner Argumentation angeht, empfehle ich Dir "The fine Art of Baloney Detection" von Carl Sagan zu lesen.

Das dürfte Deinem Schweizer Humor entgegen kommen: Wußtest Du, das unter Sicherheitskriterien Windows 98 heutzutage als eines der sichersten BS gilt?

Ganz einfach: Es gibt aktuell keine Schadware mehr "in the wild" und es macht sich auch keiner mehr die Mühe etwas dafür zu schreiben.

Ausserdem sind alle Zertifikate abgelaufen, so dass nix passieren kann.

Was ich damit sagen will: Es gibt keine absolute Sicherheit (was Du ja auch schon bemerkt hast).

Sicherheit hat immer etwas mit Wahrscheinlichkeit und Risiko zu tun. Wir wissen beide, wie anfällig Win98 ist.

Um jetzt wie Du zu argumentieren: Es ist klar, dass ich draussen vom Blitz getroffen werden kann. Ich kann es trotzdem "verantworten" vor die Tür zu gehen, weil es unwahrscheinlich ist, vom Blitz getroffen zu werden, und weil ich gewisse Rahmenbedingungen erfüllen muß, damit das Risiko steigt.

Weltweit gehen Menschen weiterhin guten Gewissens vor die Tür, und niemand käme auf die Idee einen mobilen Blitzableiter oder isolierende Gummistiefel anzuziehen.

Alles blöde Beispiele? ja, richtig, so geht es mir beim Lesen Deiner Beiträge auch.

Carl Sagan hat das wirklich besser analysiert.

Egal: bleib doch bitte mal beim Thema: Sicherheit von El Capitan.

Hast du irgendetwas konkretes?

Deine Baloney-Liste wird immer länger: inzwischen sind Verkehrsunfälle, Kids in Appstores, Impfgegner, Windows XP dazu gekommen.

Aber es ist etwas wirklich vernünftiges dabei, eine Hypothese, die ich bwußt nicht erwähnt hatte, weil ich mich auf nachprüfbare Fakten beschränken wollte:

(some heavy Stuff deleted) ... Bugs in WinXP? Davon gibts nämlich auch genug, interessiert nur kaum jemanden. Das wird nur dann interessant, wenn Microsoft trotz Supportende mal wieder nen Patch raushaut, weil ne wirklich üble Lücke gefunden wurde. ... (some heavy Stuff deleted)

Genau das wird Apple vermutlich auch machen (Hypothese). Also gehen wir weiter davon aus, dass Apple noch keinen "prestige mordenden Fehler" gefunden hat, der es wert wäre, ein unsupportetes BS trotzdem noch zu fixen.

Egal, hast Du inzwischen erkannt, dass Dein (konkretes) Argument mit der Lücke völlig falsch war und nix mit Surfen im Web oder einem möglichen Angriff auf EC zu tun hat?

Lass uns mit dem Quatsch aufhören. Ich wollte nur vermeiden, dass jemand den, von Dir so überzeugend verargumentierten Bullshit glaubt, weil ihm der technische Hintergrund fehlt.

(das war jetzt mal trockener norddeutscher Humor)

Dinge werden nicht wahrer, wenn man sie öfter wiederholt. Bevor Du keine prüfbaren Fakten lieferst, ist hier jedes Wort zuviel.

Sei Dir bitte mal bewusst, was für eine Verantwortung gegenüber Usern mit weniger Backgroundwissen hast, wenn Du Deine Weltanschauung so überzeugend von Meinung zur Wahrheit erhebst.

Geh einfach mal mit einer offenen Lücke lokal an ein wehrloses aktuelles Iphone ran. Du hast leider aktuell die Chance eines Jailbreaks verpasst.

Du hättest wirklich hautnah erleben können was ein kompromitiertes vorsätzlich lokal angegriffenes modernes OS monatelang ausgeklügelten Scripten noch entgegensetzen kann.

Ist natürlich bequemer irgendwas von irgendwelchen Videos von Kids, die Iphones in Applestores jailbreaken rauszuhauen.

Wo ist ein konkretes Beispiel, ohne könnte, hätte, würde...?

Microsoft sieht sogar ein BS als sicher an, für das per default man einen Virenscanner braucht. Also ein Programm dass vorhandene Lücken stopft, indem es Bedrohungen per Blacklist abhakt?

Millionen Menschen nutzen das so. Warum sagt jeder, MacOS braucht das nicht? Warum findet google trotzdem aktuell nix über ein kompromitiertes EC?

Warum kannst Du keinen eindeutigen Beweis liefern? Den ersten Eintrag in so einer Blacklist für EC?

Egal, ich bin raus. Auch Impfgegner können durchaus Recht haben, wenn es um MacOS geht. Da besteht kein kausaler Zusammenhang. Was du meinst, nennt sich Korrelation.

 

[Carcharoth]

Sorry, aber wenn Du schon nicht wissenschaftlich und fundiert (z.B. durch prüfbare Links) argumentierst, ist das alles maximal Deine Meinung und damit unter Umständen von jeder Wahrheit weit entfernt.

Wieviele Links und Beispiele soll ich dir noch bieten? Du gehst ja kaum auf diese ein, oder verdrehst sie ins Gegenteil.
Oder bringst was total neues in die Diskussion ein, was aber kaum Zusammenhang hat. (Wunderschönes Derailing mit dem Jailbreak-Thema.)

Belib doch wenigstens mit Deinen Beispielen in der EDV Welt.

Bei dem Verständnis was du da bisher gezeigt hast, musste ich zwangsläufig zu was anderem wechseln, weil ich nicht wusste ob du das überhaupt verstehst. Oder verstehen willst. Nachdem du auch die Alternativen dauernd ins lächerliche ziehst bzw. nicht darauf eingehst, ist es definitiv letzteres.

Was die Art Deiner Argumentation angeht, empfehle ich Dir "The fine Art of Baloney Detection" von Carl Sagan zu lesen.
Das dürfte Deinem Schweizer Humor entgegen kommen: Wußtest Du, das unter Sicherheitskriterien Windows 98 heutzutage als eines der sichersten BS gilt?
Ganz einfach: Es gibt aktuell keine Schadware mehr "in the wild" und es macht sich auch keiner mehr die Mühe etwas dafür zu schreiben.
Ausserdem sind alle Zertifikate abgelaufen, so dass nix passieren kann.
Was ich damit sagen will: Es gibt keine absolute Sicherheit (was Du ja auch schon bemerkt hast).
Sicherheit hat immer etwas mit Wahrscheinlichkeit und Risiko zu tun. Wir wissen beide, wie anfällig Win98 ist.
Um jetzt wie Du zu argumentieren: Es ist klar, dass ich draussen vom Blitz getroffen werden kann. Ich kann es trotzdem "verantworten" vor die Tür zu gehen, weil es unwahrscheinlich ist, vom Blitz getroffen zu werden, und weil ich gewisse Rahmenbedingungen erfüllen muß, damit das Risiko steigt.
Weltweit gehen Menschen weiterhin guten Gewissens vor die Tür, und niemand käme auf die Idee einen mobilen Blitzableiter oder isolierende Gummistiefel anzuziehen.

Blitzableiter beim Haus sind auch doof. Kosten ja nur.
Updates und Hotfixes sind auch doof. Fressen ja nur Speicherplatz.

Klar musst du gewisse Rahmenbedingungen erfüllen, damit das Risiko steigt. Andersrum kannst du aber auch Bedingungen erfüllen um das Risiko zu senken. Wieso willst du das nicht?

Alles blöde Beispiele? ja, richtig, so geht es mir beim Lesen Deiner Beiträge auch.
Carl Sagan hat das wirklich besser analysiert.
Egal: bleib doch bitte mal beim Thema: Sicherheit von El Capitan.
Hast du irgendetwas konkretes?
Deine Baloney-Liste wird immer länger: inzwischen sind Verkehrsunfälle, Kids in Appstores, Impfgegner, Windows XP dazu gekommen.
Aber es ist etwas wirklich vernünftiges dabei, eine Hypothese, die ich bwußt nicht erwähnt hatte, weil ich mich auf nachprüfbare Fakten beschränken wollte:

Ich hab dir gaaaanz am Anfang ne Liste mit offenen Lücken gegeben. Konkreter wirds nicht mehr.

Ich weiss nicht wie ich es dir sonst noch erklären soll. Ist dir nicht aufgefallen, dass ich die Komplexität der Erklärungen jedes mal weiter nach unten schraube, in der Hoffnung du verstehst endlich worum es geht?
Deine Beispiele sind übrigens nicht blöd, sondern einfach nur falsch.

Genau das wird Apple vermutlich auch machen (Hypothese). Also gehen wir weiter davon aus, dass Apple noch keinen "prestige mordenden Fehler" gefunden hat, der es wert wäre, ein unsupportetes BS trotzdem noch zu fixen.

Egal, hast Du inzwischen erkannt, dass Dein (konkretes) Argument mit der Lücke völlig falsch war und nix mit Surfen im Web oder einem möglichen Angriff auf EC zu tun hat?

Das war ein Beispiel von vielen. Ich hätte das mit jedem anderen CVE machen können, aber hab extra eines der am kritischten bewerteten gewählt, in der Hoffnung du würdest erkennen, dass die Dinger nicht harmlos sind.

Lass uns mit dem Quatsch aufhören. Ich wollte nur vermeiden, dass jemand den, von Dir so überzeugend verargumentierten Bullshit glaubt, weil ihm der technische Hintergrund fehlt.

Quatsch? Bullshit?
Na denn, wenn du das so siehst.
Übliche Taktik bei Meinungsdifferenzen. Man diskreditiert einfach die Argumente des Gegners. Gähn. Ist ja auch viel einfacher als mit Gegenbeweisen anzutreten.

Dinge werden nicht wahrer, wenn man sie öfter wiederholt. Bevor Du keine prüfbaren Fakten lieferst, ist hier jedes Wort zuviel.

Dann lass es bitte sein.
Und Fakten hast du genug. Du ignorierst sie bloss.

Sei Dir bitte mal bewusst, was für eine Verantwortung gegenüber Usern mit weniger Backgroundwissen hast, wenn Du Deine Weltanschauung so überzeugend von Meinung zur Wahrheit erhebst.

Sei dir bitte bewusst wie du auf User wirkst, indem du behauptest es wäre völlig okay mit nem ungepatchten System im Internet unterwegs zu sein.
Du arbeitest in der IT, du weisst, dass man bestimmte Sachen nicht anklicken soll. Viele wissen das aber nicht.

Geh einfach mal mit einer offenen Lücke lokal an ein wehrloses aktuelles Iphone ran. Du hast leider aktuell die Chance eines Jailbreaks verpasst.
Du hättest wirklich hautnah erleben können was ein kompromitiertes vorsätzlich lokal angegriffenes modernes OS monatelang ausgeklügelten Scripten noch entgegensetzen kann.
Ist natürlich bequemer irgendwas von irgendwelchen Videos von Kids, die Iphones in Applestores jailbreaken rauszuhauen.
Wo ist ein konkretes Beispiel, ohne könnte, hätte, würde...?

Ich hab dir n Beispiel verlinkt. Hast du aber ignoriert. Mehrmals.

Microsoft sieht sogar ein BS als sicher an, für das per default man einen Virenscanner braucht. Also ein Programm dass vorhandene Lücken stopft, indem es Bedrohungen per Blacklist abhakt?
Millionen Menschen nutzen das so. Warum sagt jeder, MacOS braucht das nicht? Warum findet google trotzdem aktuell nix über ein kompromitiertes EC?

Virenscanner sind Schlangenöl. Das solltest du besser wissen.

Und ich weiss nicht, warum du nun Virenscanner in die Diskussion bringst. Die haben mit der Problematik nur sehr wenig zu tun.

Warum kannst Du keinen eindeutigen Beweis liefern? Den ersten Eintrag in so einer Blacklist für EC?

Was willst du denn noch? Nen funktionsfähigen Exploit der deinen Rechner plättet?

Egal, ich bin raus. Auch Impfgegner können durchaus Recht haben, wenn es um MacOS geht. Da besteht kein kausaler Zusammenhang. Was du meinst, nennt sich Korrelation.

Worauf bezieht sich das nun wieder?